Jeg har set, at websteder automatisk omdanner HTTP-anmodninger til HTTPS uden HTTP Strict Transport Security (HSTS) header.
Så lindrer følgende linje i anmodningen behovet for HSTS fuldt ud?
Content-Security-Policy: upgrade-insecure-anmodninger;